Это опять я (http://virusinfo.info/showthread.php?t=29145) только по поводу другого компа.
Такая же история.
Это опять я (http://virusinfo.info/showthread.php?t=29145) только по поводу другого компа.
Такая же история.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\WinCtrl32.bak C:\WINDOWS\system32\WinCtrl32.dl_ C:\WINDOWS\system32\Drivers\Winrw84.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\blphcj2kj0ep37.scr',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winrw84.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteService('wuauservSwPrv'); DeleteService('wuauservNetDDEdsdm'); DeleteService('winmgmtWmi'); DeleteService('winmgmtSpooler'); DeleteService('WebClientUPSBrowserBITSWmiApSrvdmserverBrowser'); DeleteService('UPSBrowserBITSWmiApSrvdmserverBrowser'); DeleteService('UPSBrowserBITSWmiApSrv'); DeleteService('UPSBrowserBITSNlawinmgmtWmiEventSystemAudioSrv'); DeleteService('UPSBrowserBITS'); DeleteService('UPSBrowser'); DeleteService('UPSAppMgmtHidServ'); DeleteService('TapiSrvSCardSvr'); DeleteService('stisvcWZCSVC'); DeleteService('SSDPSRVmnmsrvcEventSystemDnscache'); DeleteService('SSDPSRVmnmsrvc'); DeleteService('srserviceSwPrvSENSwuauservRSVP'); DeleteService('srserviceSwPrvSENSwuauserv'); DeleteService('srserviceSwPrv'); DeleteService('srserviceNetDDE'); DeleteService('ShellHWDetectionAppMgmtBrowser'); DeleteService('ShellHWDetectionAppMgmt'); DeleteService('SENSwuauserv'); DeleteService('SCardSvrNetDDEdsdm'); DeleteService('ProtectedStorageRemoteRegistry'); DeleteService('PlugPlaygusvcPolicyAgent'); DeleteService('NtmsSvcSpooler'); DeleteService('NtLmSspNetDDESchedule'); DeleteService('NlawinmgmtWmiEventSystemAudioSrv'); DeleteService('NlawinmgmtWmi'); DeleteService('NetlogonNla'); DeleteService('NetlogonCiSvcose'); DeleteService('NetlogonCiSvc'); DeleteService('NetDDESchedule'); DeleteService('NetDDEdsdmNetlogonCiSvcose'); DeleteService('LmHostsSENS'); DeleteService('gusvcPolicyAgent'); DeleteService('FastUserSwitchingCompatibilityUPSAppMgmtHidServ'); DeleteService('EventSystemwuauservNetDDEdsdm'); DeleteService('EventSystemDnscache'); DeleteService('EventSystemAudioSrvNtLmSspNetDDESchedule'); DeleteService('EventSystemAudioSrv'); DeleteService('dmserverBrowser'); DeleteService('CryptSvcMessenger'); DeleteService('COMSysAppCiSvcW32Time'); DeleteService('COMSysAppCiSvc'); DeleteService('AppMgmtHidServ'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winrw84.sys'); DeleteFile('C:\WINDOWS\system32\blphcj2kj0ep37.scr'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('wuauservSwPrv'); BC_DeleteSvc('wuauservNetDDEdsdm'); BC_DeleteSvc('winmgmtWmi'); BC_DeleteSvc('winmgmtSpooler'); BC_DeleteSvc('WebClientUPSBrowserBITSWmiApSrvdmserverBrowser'); BC_DeleteSvc('UPSBrowserBITSWmiApSrvdmserverBrowser'); BC_DeleteSvc('UPSBrowserBITSWmiApSrv'); BC_DeleteSvc('UPSBrowserBITSNlawinmgmtWmiEventSystemAudioSrv'); BC_DeleteSvc('UPSBrowserBITS'); BC_DeleteSvc('UPSBrowser'); BC_DeleteSvc('UPSAppMgmtHidServ'); BC_DeleteSvc('TapiSrvSCardSvr'); BC_DeleteSvc('stisvcWZCSVC'); BC_DeleteSvc('SSDPSRVmnmsrvcEventSystemDnscache'); BC_DeleteSvc('SSDPSRVmnmsrvc'); BC_DeleteSvc('srserviceSwPrvSENSwuauservRSVP'); BC_DeleteSvc('srserviceSwPrvSENSwuauserv'); BC_DeleteSvc('srserviceSwPrv'); BC_DeleteSvc('srserviceNetDDE'); BC_DeleteSvc('ShellHWDetectionAppMgmtBrowser'); BC_DeleteSvc('ShellHWDetectionAppMgmt'); BC_DeleteSvc('SENSwuauserv'); BC_DeleteSvc('SCardSvrNetDDEdsdm'); BC_DeleteSvc('ProtectedStorageRemoteRegistry'); BC_DeleteSvc('PlugPlaygusvcPolicyAgent'); BC_DeleteSvc('NtmsSvcSpooler'); BC_DeleteSvc('NtLmSspNetDDESchedule'); BC_DeleteSvc('NlawinmgmtWmiEventSystemAudioSrv'); BC_DeleteSvc('NlawinmgmtWmi'); BC_DeleteSvc('NetlogonNla'); BC_DeleteSvc('NetlogonCiSvcose'); BC_DeleteSvc('NetlogonCiSvc'); BC_DeleteSvc('NetDDESchedule'); BC_DeleteSvc('NetDDEdsdmNetlogonCiSvcose'); BC_DeleteSvc('LmHostsSENS'); BC_DeleteSvc('gusvcPolicyAgent'); BC_DeleteSvc('FastUserSwitchingCompatibilityUPSAppMgmtHidServ'); BC_DeleteSvc('EventSystemwuauservNetDDEdsdm'); BC_DeleteSvc('EventSystemDnscache'); BC_DeleteSvc('EventSystemAudioSrvNtLmSspNetDDESchedule'); BC_DeleteSvc('EventSystemAudioSrv'); BC_DeleteSvc('dmserverBrowser'); BC_DeleteSvc('CryptSvcMessenger'); BC_DeleteSvc('COMSysAppCiSvcW32Time'); BC_DeleteSvc('COMSysAppCiSvc'); BC_DeleteSvc('AppMgmtHidServ'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Уважаемый(ая) rezsky, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.